W 2009 roku została wydana pierwsza norma ISO 31000:2009 Zasady i wytyczne (tytuł polski), tym samym wprowadzając pojęcie tzw. kontekstu organizacji. Dzieląc go na kontekst zewnętrzny i wewnętrzny.

W dużym uproszczeniu kontekst organizacji to próba zrozumienia czynników, w których działa organizacja (kontekst zewnętrzny) oraz wnętrza organizacji (kontekst wewnętrzny), a w efekcie zrozumienie powiązań. Te powiązania, wzajemne wpływy i zależności stanowią podstawę do organizacji systemu zarządzania ryzykiem w organizacji.

Z normy ISO 31000 czerpią wszelkie pozostałe normy obejmujące praktycznie wszystkie systemy zarządzania, nie tylko zarządzania bezpieczeństwem, co oznacza, że kontekst organizacji przewija się w każdej z nich. Kontekst pojawia się również w przepisach prawa, w tym między innymi w RODO.

W naszych pracach rozwojowych nad systemami zarządzania ryzykiem, od 2007 roku używamy analiz, które pozwalają na identyfikację czynników zewnętrznych i wewnętrznych oraz ich oceny w filozofii myślenia i działania opartego o ryzyko.
W standardowym zestawie analiz znajdują się:

• Analiza PEST – wskazywana również jako jednostki certyfikujące (wiodąca analiza tzw. kontekstu zewnętrznego w ujęciu. makrootoczenia, czyli otoczenia dalszego),
• Analiza 5 sił Portera – nieco zapomniana, doskonała analiza otoczenia bliższego— mikrootoczenia
• Analiza wieloczynnikowa WSZ/POU dostosowana przez nas do identyfikacji kontekstu wewnętrznego w 9 grupach czynników,
• Analiza SWOT stanowiąca zestawienie wzajemnych wpływów i powiązań trzech powyższych analiz.

Analizy te są przedmiotem szkoleń z zarządzania bezpieczeństwem, w ramach których wykonujemy warsztat na każdej z nich, kończąc tzw. zaleceniami strategicznymi. Dziś jednak zajmiemy się analizą mniej wykorzystywaną, a doskonałą do tworzenia tzw. predefiniowanych zestawów zabezpieczeń. Jej niska popularność wynikać może z braku podejścia „produktowego” w polskich organizacjach.

Analiza BCG – macierz bostońska

Macierz bostońska jest tzw. analizą portfelową, po raz pierwszy zastosowana przez Boston Consulting Group pod koniec lat 60-tych XX wieku. Grupuje produkty lub usługi w cztery podstawowe kategorie:

• ,,Znaki zapytania’’, czyli grupy produktów znajdujących się fazie badań, rozwoju i koncepcji;
• ,,Wschodzące gwiazdy” – grupy produktów lub usług, które wyszły z fazy znaków zapytania i są nowością na rynku;
• ,,Dojne krowy” – produkty lub usługi stanowiące źródło podstawowego dochodu organizacji, jako te najbardziej ugruntowane na rynku;
• ,,Psy” to produkty lub usługi utrzymywane niejako „siłą rozpędu”, z których organizacja powinna się wycofać.

Warto pamiętać, że macierz BCG doskonale uzupełnia się z cyklem życia produktu (usługi), a ścieżka sukcesy wygląda następująco:

Znaki zapytania > Wschodzące gwiazdy > dojne krowy > znaki zapytania (tworzenie nowych odmian produktów lub usług, czyli innowacyjność w zastosowaniu przy minimalnych zmianach obecnego produkty lub znalezienie nowych zastosowań).

Strategie bezpieczeństwa

Patrząc przez działania biznesowe na różnych etapach rozwoju produktu lub usługi potrafią zarysować się wymagania dotyczące systemu zarządzania bezpieczeństwem. Dla przykładu:

• Znaki zapytania – to najczęściej dane z laboratoriów, wyniki badań, testów. Często bardzo kosztowne za sprawą wyposażenia, dopuszczeń, certyfikacji i kwalifikacji personelu. W tym przypadku kluczowa jest ochrona informacji,
• Wschodzące gwiazdy – w tej sytuacji mamy do czynienia z ochroną marki, szczególnie marki wschodzącej,
• Dojne krowy – wymagania w zakresie stabilności, a więc dostępności produktu lub usługi i np. bezpieczeństwo łańcucha dostaw,
• Psy – dość analogicznie do wschodzących gwiazd, obejmują działania w zakresie ochrony marki, często wspierając działania tzw. demarketingu.

Kontekst

Powyższe opisy w odniesieniu do strategii bezpieczeństwa, w szczególności wymagań w zakresie systemów ochrony oparte są na analizie tzw. kontekstu organizacji, jednak w ujęciu produktów czy usług. Bywa, iż w klasyfikacjach można spotkać pojęcie linii biznesowych.

Ważne jest jednak to, że to biznes lub działanie statutowe wyznacza kierunek zarządzania bezpieczeństwem, a więc tworzenie strategii pod konkretną grupę produktu czy usługi wynika z analizy kontekstu. W analizie BCG wykonanej poprawnie dane te są bardzo rzetelne, dlatego że przypisanie do konkretnej grupy wynika z zastosowania pewnych wzorów wyliczeń, a nie „widzimisię” kadry kierowniczej. To już z kolei bardzo solidna postawa do budowania bezpieczeństwa. We wzorach do analizy BCG używane są dwa parametry:

• Tempo wzrostu rynku – dla działów bezpieczeństwa informacja o tym, jak brutalnej walki konkurencyjnej można się spodziewać. Rynki młode, czy też dynamicznie rozwijające się są tymi, na których dochodzi do najbardziej agresywnych zachowań, chyba że są regulowane i nadzorowane przez stosowne organy nadzoru,
• Udział produkty czy usługi chronionego przedsiębiorstwa w rynku – to parametr mniej krytyczny dla bezpieczeństwa, jednakże z praktyki można powiedzieć, że po przekroczeniu pewnej bariery działania konkurencji się nasilają. Parametr ten jest zależny od stopnia koncentracji sektora i inaczej będzie wyglądał na rynkach z modelem zbliżonym do monopolu (oligopol, czy podobne), a inaczej na rynkach mocno rozproszonych.

Podsumowanie

Wiedza o tym, jak działa organizacja, jakie ma bariery, szanse, możliwości i ograniczenia jest podstawą planowania odpowiednich systemów zarządzania bezpieczeństwem. Modele analizy kontekstu wewnętrznego są dość ubogie za sprawą stosunkowo ograniczonego opisu zawartego w normie ISO 31000. Podczas gdy nauka o zarządzaniu, szczególnie w ujęciu strategicznym, potrafi dostarczyć naprawdę ciekawych i korzystnych podstaw do tworzenia założeń dla systemów zarządzania bezpieczeństwem. Analiza BCG jest jednym z nich, który dość trudno się wpisuje w ideę opisaną w ISO 31000. Rozwinięcie tematu na szkoleniu Zarządzanie Bezpieczeństwem 26-27 września 2022.

Więcej informacji o szkoleniu: szkolenia@essa.pro